在 Bash 脚本中,最稳妥的方式是使用 read 命令的 -s 参数禁止字符回显,若需兼容 POSIX sh 则通过 stty 控制终端回声,但这仅解决屏幕可见性问题,不涉及存储加密。
先说结论:优先使用 bash 内置的 read -s 实现隐藏输入,若需兼容旧式 sh 再用 stty -echo 配合 trap 恢复,注意这只能防止旁人窥屏,不能防止变量泄露。
- 适合:需要在脚本运行时临时获取敏感信息且不希望留在屏幕历史记录的场景
- 先看:脚本解释器是否为 bash,因为 -s 参数并非所有 shell 都支持
- 建议:无论用哪种方式,退出脚本前必须确保终端回声设置被还原,否则会影响后续操作
命令速用版
如果你确定环境是 Bash,直接复制以下片段即可实现密码输入隐藏:
read -sp "请输入密码:" password
echo
echo "密码已接收,长度为 ${#password}"如果是 POSIX sh 环境(如 dash),则需要手动控制终端状态:
stty -echo read -p "请输入密码:" password stty echo echo
为什么会这样
终端默认会开启“回声”(echo)功能,你敲下的每个字符都会显示在屏幕上。隐藏密码的本质是临时关闭这个回声功能。Bash 的 read -s 选项内部就是调用了终端控制接口来关闭回声,输入结束后自动恢复。而 stty -echo 是更底层的命令,直接修改当前终端驱动设置,所以用完后必须手动开回来,否则你接下来的所有输入都看不见了。
分步处理
下面是一个比较完整的脚本示例,包含了错误处理和状态恢复:
#!/bin/bash# 定义清理函数,确保脚本退出时恢复终端设置
cleanup() {stty echoechoexit
}# 捕获中断信号,防止 Ctrl+C 导致终端无法回声
trap cleanup INT TERM# 关闭回声
stty -echo# 提示输入
printf "请输入密码:"
read password# 恢复回声
stty echo
echo# 后续逻辑
echo "输入完成"每一步做完后,检查终端是否正常显示字符。如果在输入密码过程中按了 Ctrl+C,脚本应该能自动恢复回声,不会导致终端“瞎掉”。
怎么验证是否生效
运行脚本后,输入密码时观察屏幕是否有字符显示(包括星号)。正常情况下应该没有任何显示,只有光标移动。输入完成后按回车,看后续提示是否正常出现。另外,检查历史记录:
history | grep 脚本名
确认密码变量没有意外打印到日志或标准输出中。注意,即使屏幕上不显示,密码依然以明文形式存在于脚本变量的内存中,不要将其 echo 出来或写入日志文件。
常见坑
1. 忘记恢复回声:使用 stty -echo 后如果脚本报错退出,没有执行 stty echo,会导致整个终端会话无法显示输入字符,只能重新登录或手动重置。
2. 历史记录泄露:虽然输入时不显示,但如果脚本本身被记录在 history 中,或者密码被写入了某个日志文件,依然不安全。
3. 兼容性问题:read -s 是 Bash 特性,在 /bin/sh 指向 dash 的 Ubuntu 系统上可能无效,需指定解释器为 #!/bin/bash。
4. 变量残留:脚本结束后,环境变量可能残留,敏感脚本执行完后最好 unset 相关变量。
原文链接:https://www.zjcp.cc/ask/10972.html